[tie_full_img]

[/tie_full_img]

Hôm nay, 12/6/2018, Quốc hội đã thông qua dự thảo Luật An ninh mạng, trong đó có những điều như: cấm loan tải thông tin tuyên truyền, vận động, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, cản trở sự hoạt động của cơ quan nhà nước (Điều 15), hay buộc các công ty tiết lộ dữ liệu khi bị yêu cầu, và phải xóa bỏ, ngăn chặn chia sẻ thông tin chậm nhất 24 giờ kể từ thời điểm được yêu cầu (Điều 26). Khác với dự luật An ninh mạng của Việt Nam, Quy định chung về bảo vệ dữ liệu của Ủy Ban Châu Âu (gọi tắt là GDPR) nhấn mạnh quyền tự quyết định của mỗi cá nhân trong việc có đồng ý chia sẻ dữ liệu hay không. GDPR là quy định được cho là sự thay đổi lớn nhất về quyền riêng tư trong hơn 20 năm trở lại đây.

GPPR là gì?

GDPR là tên viết tắt của “General Data Protection Regulation”, tạm dịch là “Quy định chung về bảo vệ dữ liệu”. GDPR dài đến 88 trang với khoảng 50.000 từ, có hiệu lực từ ngày 25/05 vừa qua. GDPR cho phép các cá nhân có nhiều quyền kiểm soát hơn với dữ liệu của họ, và buộc các tổ chức phải tuyên bố rõ ràng về việc những loại dữ liệu cá nhân khác nhau mà họ thu thập sẽ được sử dụng cho mục đích gì. Vì GDPR áp dụng cho tất cả các tổ chức có thu thập, xử lý dữ liệu của công dân EU, những công ty ngoài khối EU muốn tiếp tục làm việc với dữ liệu của công dân EU phải tuân thủ quy định mới này. Ảnh hưởng của GDPR vì thế không chỉ gói gọn trong châu Âu mà vươn ra toàn cầu.

Dữ liệu nào được coi là dữ liệu cá nhân theo GDPR?

Đó là bất kỳ dữ liệu nào mà có thể dùng để nhận biết bạn, bao gồm tên tuổi, địa chỉ, số điện thoại, ảnh, số thẻ căn cước, tên đăng nhập, địa chỉ IP, vị trí địa lý,… hay thông tin về “nhân dạng thể chất, sinh lý, di truyền, tâm lý, khả năng kinh tế, văn hóa, xã hội”.

GDPR có những quy định nổi bật gì?

  • Một trong những điểm quan trọng nhất của GDPR là khẳng định tầm quan trọng của sự đồng thuận (consent). Các tổ chức chỉ có quyền thu thập và sử dụng dữ liệu cá nhân khi và chỉ khi có sự đồng thuận của người dùng. GDPR nêu rõ: “Sự im lặng, những lựa chọn được đánh sẵn, hay sự không hoạt động không được hiểu là đồng thuận”. Người dùng có quyền rút lại sự đồng ý chia sẻ dữ liệu bất kì lúc nào, và thực hiện việc này phải dễ dàng như khi họ đồng ý chia sẻ.
  • Mỗi cá nhân có quyền được biết những gì đang xảy ra với dữ liệu cá nhân của họ, bao gồm chúng có đang được xử lý không, ở đâu, và vì mục đích gì. Thông tin về việc các loại dữ liệu khác nhau được thu thập và sử dụng cho mục đích gì phải được hiển thị rõ ràng, dễ hiểu, dễ tiếp cận, thay vì chỉ trưng ra các bản điều khoản dịch vụ dài và khó đọc như trước kia. Một bản sao của dữ liệu cá nhân mà tổ chức lưu trữ cần được cung cấp miễn phí khi người dùng yêu cầu.
  • Người dùng có quyền được lãng quên (right to be forgotten), tức là dữ liệu cá nhân phải được xóa ngay lập tức trong các trường hợp sau: khi dữ liệu không còn cần thiết cho mục đích xử lý ban đầu của các tổ chức; khi người bị ảnh hưởng (impacted person) đã rút lại sự đồng ý hay phản đối chia sẻ thông tin của mình và trong những trường hợp đó không có rào cản pháp lý nào khác; khi việc xử lý dữ liệu được thực hiện bất hợp pháp; hay việc xóa dữ liệu là bắt buộc để thực hiện nghĩa vụ theo luật EU hay luật của các nước thành viên. Nhưng điều này không có nghĩa là mọi người có thể thích gì xóa đó. Quyền được lãng quên sẽ không được áp dụng trong những trường hợp như khi công dân thể hiện quyền tự do biểu đạt (freedom of expression), phục vụ lợi ích công, nghiên cứu lịch sử hay khoa học,… Ví dụ như không một chính trị gia nào được phép xóa các dấu vết của họ trong quá khứ.
  • Các cơ quan công quyền, các tổ chức tham gia vào việc giám sát hệ thống lớn, và các tổ chức tham gia vào việc giám sát dữ liệu cá nhân nhạy cảm phải bổ nhiệm cán bộ bảo vệ dữ liệu (data protection officer).
  • Ngoài ra, GDPR có thể giới hạn thời gian lưu trữ dữ liệu của các tổ chức. Nếu để xảy ra bất kỳ rò rỉ dữ liệu nào, tổ chức đó sẽ buộc phải thông báo tới cơ quan có thẩm quyền và các cá nhân bị ảnh hưởng trong vòng 72 giờ kể từ khi sự cố xảy ra.

Các tổ chức sẽ bị phạt như thế nào nếu không chấp hành GDPR?

Mức phạt có thể lên tới 4% doanh thu của công ty hay 20 triệu EUR, tùy thuộc vào việc khoản tiền nào lớn hơn. Vì vậy, không tuân thủ quy định bảo vệ dữ liệu của châu Âu có thể khiến các công ty hàng đầu như Facebook, Google mất hàng tỉ USD.

Nguồn: Zeal